Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

Cloudflare 不受 OpenSSL 漏洞 CVE-2022-3602 和 CVE-2022-3786 的影響

Loading...

Cloudflare is not affected by the OpenSSL vulnerabilities CVE-2022-3602 and CVE-2022-37

昨天,2022 年 11 月 1 日,OpenSSL 發佈了 3.0.7 版,以修補 CVE-2022-3602 和 CVE-2022-3786,這是 OpenSSL 3.0.x 加密庫中的兩個 HIGH 級別風險漏洞。Cloudflare 不受這些漏洞的影響,因為我們在產品中使用了 BoringSSL

這些漏洞是記憶體損壞問題,攻擊者可能能夠在受害者的電腦上執行任意代碼。CVE-2022-3602 最初被宣佈為 CRITICAL 嚴重性漏洞,但由於該漏洞被認為難以透過遠端程式碼執行 (RCE) 進行利用,因此已降級為 HIGH。與以前 OpenSSL 使用者幾乎普遍易受攻擊的情況不同,使用其他版本 OpenSSL(如 1.1.1)的軟體不容易受到此攻擊。

這些問題會對用戶端和伺服器產生怎樣的影響?

這些漏洞存在於負責 X.509 憑證驗證的程式碼中——通常在用戶端執行,以驗證伺服器和所提供的憑證。當受害者(用戶端或伺服器)滿足以下幾個條件時,會受到此漏洞的影響:

  • 惡意憑證需要由受害者信任的憑證頒發機構簽名。
  • 受害者需要驗證惡意憑證或忽略來自瀏覽器的一系列警告。
  • 受害者需要執行低於 3.0.7 的 OpenSSL 3.0.x 版本。

要使用戶端受到此漏洞的影響,他們必須造訪提供包含漏洞利用有效負載的憑證的惡意網站。此外,此惡意憑證必須由受信任的憑證頒發機構 (CA) 簽名。

如果具有易受攻擊的 OpenSSL 版本的伺服器支援相互驗證——在這種情況下,用戶端和伺服器都提供有效且已簽名的 X.509 憑證,且用戶端能夠向伺服器提供具有漏洞利用有效負載的憑證。

您應該如何處理此問題?

如果您正在管理執行 OpenSSL 的服務:您應該修補易受攻擊的 OpenSSL 封裝。在 Linux 系統上,您可以確定是否有任何處理序使用 lsof 命令動態載入 OpenSSL。下面是一個查找 NGINX 使用的 OpenSSL 的範例。

[email protected]:/# lsof | grep libssl.so.3
nginx   1294     root  mem       REG              254,1           925009 /usr/lib/x86_64-linux-gnu/libssl.so.3 (path dev=0,142)

一旦您的 Linux 發行版的封裝維護者發佈了 OpenSSL 3.0.7,您就可以透過更新封裝來源和升級 libssl3 封裝來進行修補。在 Debian 和 Ubuntu 上,這可以透過 apt-get upgrade 命令來完成。

[email protected]:/# apt-get --only-upgrade install libssl3

話雖如此,但您可能正在執行 lsof 命令無法找到的易受攻擊的 OpenSSL 版本,因為您的處理序是靜態編譯的。務必要更新您負責維護的靜態編譯軟體,並確保在未來幾天內更新您的作業系統和其他可能包含易受攻擊的 OpenSSL 版本的已安裝軟體,這一點非常重要。

重點

藉助 Cloudflare 使用的 BoringSSL,我們確信該問題不會在漏洞發布日期之前影響我們。

從更廣泛的意義來說,該漏洞提醒人們記憶體安全仍然是一個重要問題。此問題可能難以利用,因為它需要一個惡意製作的憑證並由受信任的 CA 簽名,並且憑證頒發者可能會開始驗證他們簽名的憑證是否不包含利用這些漏洞的有效負載。但是,鑒於問題的嚴重性,修補軟體並將易受攻擊的 OpenSSL 封裝升級到 OpenSSL 3.0.7 仍然很重要。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺

我們會保護 整個企業網路, 協助客戶打造 有效率的網際網路規模應用程式, 加快任何 網站或網際網路應用程式 阻擋 DDoS 攻擊, 讓 駭客無機可乘, 還能夠協助您 順利展開 Zero Trust 之旅

透過任何裝置造訪 1.1.1.1, 即可開始使用我們的免費應用程式,讓您的網際網路更快速且更安全。

若要深入瞭解我們協助構建更美好網際網路的使命,請從 這裡開始。 您正在尋找新的職業方向,請查看 我們的開放職缺

防守 (TW) 漏洞 (TW) 繁體中文 (TW)

Follow on Twitter

Michal Melewski |@carste1n
Cloudflare |Cloudflare

Related Posts

March 17, 2022 9:59AM

Cloudflare 和 CrowdStrike 攜手合作,在各種裝置、應用程式和企業網路間提供 CISO 安全控制

今天,我們很高興地宣佈推出與 CrowdStrike 的幾項新整合。這些整合會將 Cloudflare 遼闊網路和 Zero Trust 套件的強大功能,與 CrowdStrike 的端點偵測和回應 (EDR) 及事件補救產品結合在一起...